AADSignInEventsBeta
Aplica-se a:
- Microsoft Defender XDR
Importante
A AADSignInEventsBeta tabela encontra-se atualmente em versão beta e está a ser disponibilizada a curto prazo para lhe permitir investigar Microsoft Entra eventos de início de sessão. Os clientes precisam de ter uma licença Microsoft Entra ID P2 para recolher e ver atividades para esta tabela. Todas as informações do esquema de início de sessão serão eventualmente movidas para a IdentityLogonEvents tabela.
A AADSignInEventsBeta tabela no esquema de investigação avançado contém informações sobre Microsoft Entra inícios de sessão interativos e não interativos. Saiba mais sobre os inícios de sessão no Microsoft Entra relatórios de atividade de início de sessão - pré-visualização.
Utilize esta referência para construir consultas que devolvem informações da tabela. Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o registo foi gerado |
Application |
string |
Aplicação que executou a ação gravada |
ApplicationId |
string |
Identificador exclusivo da aplicação |
LogonType |
string |
Tipo de sessão de início de sessão, especificamente interativa, interativa remota (RDP), rede, lote e serviço |
ErrorCode |
int |
Contém o código de erro se ocorrer um erro de início de sessão. Para encontrar uma descrição de um código de erro específico, visite https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Identificador exclusivo do evento de início de sessão |
SessionId |
string |
Número exclusivo atribuído a um utilizador pelo servidor de um site durante a visita ou sessão |
AccountDisplayName |
string |
Nome apresentado na entrada do livro de endereços do utilizador da conta. Normalmente, trata-se de uma combinação do nome, da inicial do meio e do sobrenome do utilizador. |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountUpn |
string |
Nome principal de utilizador (UPN) da conta |
IsExternalUser |
int |
Indica se o utilizador que iniciou sessão é externo. Valores possíveis: -1 (não definido), 0 (não externo), 1 (externo). |
IsGuestUser |
boolean |
Indica se o utilizador que iniciou sessão é um convidado no inquilino |
AlternateSignInName |
string |
Nome principal de utilizador (UPN) no local do utilizador que inicia sessão no Microsoft Entra ID |
LastPasswordChangeTimestamp |
datetime |
Data e hora em que o utilizador que iniciou sessão mudou a palavra-passe pela última vez |
ResourceDisplayName |
string |
Nome a apresentar do recurso acedido. O nome a apresentar pode conter qualquer caráter. |
ResourceId |
string |
Identificador exclusivo do recurso acedido |
ResourceTenantId |
string |
Identificador exclusivo do inquilino do recurso acedido |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
AadDeviceId |
string |
Identificador exclusivo do dispositivo no Microsoft Entra ID |
OSPlatform |
string |
Plataforma do sistema operativo em execução no dispositivo. Indica sistemas operativos específicos, incluindo variações dentro da mesma família, como Windows 11, Windows 10 e Windows 7. |
DeviceTrustType |
string |
Indica o tipo de fidedignidade do dispositivo que iniciou sessão. Apenas para cenários de dispositivos geridos. Os valores possíveis são Workplace, AzureAd e ServerAd. |
IsManaged |
int |
Indica se o dispositivo que iniciou o início de sessão é um dispositivo gerido (1) ou não um dispositivo gerido (0) |
IsCompliant |
int |
Indica se o dispositivo que iniciou o início de sessão está em conformidade (1) ou não conforme (0) |
AuthenticationProcessingDetails |
string |
Detalhes sobre o processador de autenticação |
AuthenticationRequirement |
string |
Tipo de autenticação necessária para o início de sessão. Valores possíveis: multiFactorAuthentication (A MFA era necessária) e singleFactorAuthentication (não era necessária nenhuma MFA). |
TokenIssuerType |
int |
Indica se o emissor do token está Microsoft Entra ID (0) ou Serviços de Federação do Active Directory (AD FS) (1) |
RiskLevelAggregated |
int |
Nível de risco agregado durante o início de sessão. Valores possíveis: 0 (nível de risco agregado não definido), 1 (nenhum), 10 (baixo), 50 (médio) ou 100 (alto). |
RiskDetails |
int |
Detalhes sobre o estado de risco do utilizador que iniciou sessão |
RiskState |
int |
Indica o estado de utilizador de risco. Valores possíveis: 0 (nenhum), 1 (seguro confirmado), 2 (remediado), 3 (dispensado), 4 (em risco) ou 5 (confirmado comprometido). |
UserAgent |
string |
Informações do agente do utilizador a partir do browser ou de outra aplicação cliente |
ClientAppUsed |
string |
Indica a aplicação cliente utilizada |
Browser |
string |
Detalhes sobre a versão do browser utilizada para iniciar sessão |
ConditionalAccessPolicies |
string |
Detalhes das políticas de acesso condicional aplicadas ao evento de início de sessão |
ConditionalAccessStatus |
int |
Estado das políticas de acesso condicional aplicadas ao início de sessão. Os valores possíveis são 0 (políticas aplicadas), 1 (tentativa de aplicar políticas falhadas) ou 2 (políticas não aplicadas). |
IPAddress |
string |
Endereço IP atribuído ao dispositivo durante a comunicação |
Country |
string |
Código de duas letras que indica o país/região onde o endereço IP do cliente está geolocalizado |
State |
string |
Estado em que ocorreu o início de sessão, se disponível |
City |
string |
Cidade onde o utilizador da conta está localizado |
Latitude |
string |
As coordenadas norte a sul da localização de início de sessão |
Longitude |
string |
Coordenadas de leste a oeste da localização de início de sessão |
NetworkLocationDetails |
string |
Detalhes da localização da rede do processador de autenticação do evento de início de sessão |
RequestId |
string |
Identificador exclusivo do pedido |
ReportId |
string |
Identificador exclusivo do evento |
Artigos relacionados
- AADSpnSignInEventsBeta
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Compreender o esquema
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.